Privacy Policy / Datenschutzerklärung

Effective date / Gültig ab: 09 October 2025

1. Introduction / Einleitung

English:
At Glowstep (“we”, “our”, “us”), protecting your personal data is very important to us. We respect your privacy and handle personal data in accordance with the EU General Data Protection Regulation (GDPR), the German Federal Data Protection Act (BDSG), and—where applicable—U.S. state privacy laws.
This Privacy Policy explains how we collect, use, disclose, and protect your personal data when you access or use our website or services, including our AI-powered platform “Kym AI”.

Deutsch:
Bei Glowstep („wir“, „uns“, „unser“) hat der Schutz Ihrer personenbezogenen Daten höchste Priorität. Wir respektieren Ihre Privatsphäre und verarbeiten personenbezogene Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie den anwendbaren US-Datenschutzgesetzen.
Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten erheben, nutzen, weitergeben und schützen, wenn Sie unsere Website oder Dienste – einschließlich der KI-basierten Plattform „Kym AI“ – verwenden.

2. Controller / Verantwortliche Stelle

English:
The controller within the meaning of the GDPR and other applicable data protection laws is:
Glowstep
Meng Li Wong
Silbersteinstr. 120, 12051 Berlin
Email: hello@glowstep.com

Deutsch:
Verantwortliche Stelle im Sinne der Datenschutzgesetze ist:
Glowstep
Meng Li Wong
Silbersteinstr. 120, 12051 Berlin
Email: hello@glowstep.com

3. Data we collect / Erhobene Daten

English:
We may collect the following categories of personal data:

  • Account data: name, email address, password.

  • Career data: CV, skills, experiences, job preferences, reflection inputs.

  • AI feedback data: generated match scores, narratives, interview responses.

  • Usage data: device info, IP address, cookies, and analytics (with consent).

  • Communication data: messages, event registrations, feedback forms.

Deutsch:
Wir können die folgenden Kategorien personenbezogener Daten erfassen:

  • Kontodaten: Name, E-Mail-Adresse, Passwort.

  • Karrieredaten: Lebenslauf, Fähigkeiten, Erfahrungen, Jobpräferenzen, Reflexionseingaben.

  • KI-Feedback-Daten: generierte Matching-Ergebnisse, Narrative, Interviewantworten.

  • Nutzungsdaten: Geräteinformationen, IP-Adresse, Cookies und Analysen (nur mit Zustimmung).

  • Kommunikationsdaten: Nachrichten, Event-Anmeldungen, Feedback-Formulare.

4. Purposes & Legal Basis / Zwecke & Rechtsgrundlagen

English:
We process your data for the following purposes (and legal bases under GDPR):

  • To provide and maintain our services (Art. 6(1)(b) GDPR)

  • To perform AI-based CV and career analysis (Art. 6(1)(a) GDPR)

  • To communicate with you (e.g. responding to inquiries) (Art. 6(1)(a) or (f))

  • To improve and optimize our website and services (Art. 6(1)(f))

  • For security, fraud prevention, enforcement of our terms (Art. 6(1)(f))

  • Where required by law or legal obligations (Art. 6(1)(c))

Deutsch:
Wir verarbeiten Ihre Daten zu folgenden Zwecken (und mit folgenden Rechtsgrundlagen gemäß DSGVO):

  • Zur Bereitstellung und Pflege unserer Dienste (Art. 6 Abs. 1 lit. b DSGVO)

  • Zur Durchführung von KI-gestützter Lebenslauf- und Karriereanalyse (Art. 6 Abs. 1 lit. a DSGVO)

  • Zur Kommunikation mit Ihnen (z. B. Beantwortung von Anfragen) (Art. 6 Abs. 1 lit. a oder f)

  • Zur Verbesserung und Optimierung unserer Website und Dienste (Art. 6 Abs. 1 lit. f)

  • Zur Sicherheit, Betrugsprävention, Durchsetzung unserer Bedingungen (Art. 6 Abs. 1 lit. f)

  • Wenn gesetzlich vorgeschrieben (Art. 6 Abs. 1 lit. c)

5. Cookies & Tracking / Cookies & Tracking

English:
We use cookies and similar tracking technologies. Some of them are essential (session cookies), others help improve performance, analytics, or marketing. You can accept or refuse non-essential cookies via the cookie settings in your browser or via our cookie banner.

Deutsch:
Wir verwenden Cookies und ähnliche Tracking-Technologien. Einige sind erforderlich (Session-Cookies), andere verbessern Leistung, Analytik oder Marketing. Sie können nicht notwendige Cookies über Ihre Browser-Einstellungen oder unser Cookie-Banner akzeptieren oder ablehnen.

6. Disclosure to Third Parties / Weitergabe an Dritte

English:
We never sell your data. We may share it only with:

  • Processors / Service Providers (e.g. hosting, AI infrastructure, analytics, email) under Art. 28 GDPR.

  • Base44 Inc. (USA) – our core AI and hosting processor and its listed sub-processors (OpenAI LLC, Anthropic PBC, Google Cloud Platform etc.).

  • Public authorities when legally required.

All processors act only on Glowstep’s instructions and under appropriate data-processing agreements.

Deutsch:
Wir verkaufen Ihre Daten nicht. Eine Weitergabe erfolgt nur an:

  • Auftragsverarbeiter / Dienstleister (z. B. Hosting, KI-Infrastruktur, Analytik, E-Mail) gemäß Art. 28 DSGVO.

  • Base44 Inc. (USA) – unser zentraler KI- und Hosting-Dienstleister sowie dessen aufgeführte Unterauftragsverarbeiter (OpenAI LLC, Anthropic PBC, Google Cloud Platform u. a.).

  • Behörden, sofern gesetzlich vorgeschrieben.

Alle Verarbeiter handeln ausschließlich auf Weisung von Glowstep und auf Basis geeigneter Verträge.

7. International Data Transfers / Internationale Datenübermittlungen

English:
Personal data may be transferred to countries outside the EU/EEA (especially the United States). We ensure adequate protection through:

  • the EU–US Data Privacy Framework, and/or

  • the EU Standard Contractual Clauses (2021/914) with Ireland as the governing jurisdiction.
    Copies of these safeguards are available upon request.

Deutsch:
Personenbezogene Daten können in Länder außerhalb der EU bzw. des EWR (insbesondere in die USA) übermittelt werden. Wir gewährleisten ein angemessenes Schutzniveau durch:

  • das EU-US Data Privacy Framework und/oder

  • die EU-Standardvertragsklauseln (2021/914) mit Irland als zuständigem Gerichtsstand.
    Kopien dieser Schutzmechanismen können auf Anfrage bereitgestellt werden.

8. Retention / Speicherdauer

English:
Personal data is retained only as long as necessary for the purposes described or as required by law.
When you delete your account, we instruct our processors to erase your data within 30 days. System backups may persist for up to 90 days and are then deleted automatically.

Deutsch:
Personenbezogene Daten werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich oder gesetzlich vorgeschrieben ist.
Wenn Sie Ihr Konto löschen, weisen wir unsere Auftragsverarbeiter an, Ihre Daten innerhalb von 30 Tagen zu löschen. System-Backups können bis zu 90 Tage bestehen und werden danach automatisch entfernt.

9. AI Processing Transparency / Transparenz bei KI-Verarbeitung

English:
Kym AI uses generative-AI models operated through Base44 Inc. and its sub-processors. Personal data you submit (CVs, inputs, audio recordings) is processed to generate text suggestions or feedback.
We do not train or fine-tune AI models on your personal data.
Outputs may contain errors or bias; they are for guidance only and subject to human review. No automated decisions with legal or similar effects are made.

Deutsch:
Kym AI nutzt generative KI-Modelle über Base44 Inc. und deren Unterauftragsverarbeiter. Die von Ihnen eingegebenen Daten (Lebensläufe, Eingaben, Audioaufnahmen) werden verarbeitet, um Textvorschläge oder Feedback zu erzeugen.
Wir verwenden Ihre personenbezogenen Daten nicht zum Training oder Fein-Tuning von KI-Modellen.
Die Ausgaben können Fehler oder Bias enthalten; sie dienen nur der Orientierung und unterliegen einer menschlichen Überprüfung. Es werden keine automatisierten Entscheidungen mit rechtlicher Wirkung getroffen.

10. Your Rights / Ihre Rechte

English:
Under the GDPR, you have the following rights (if applicable):

  • Right of access (Art. 15)

  • Right to rectification (Art. 16)

  • Right to erasure / “right to be forgotten” (Art. 17)

  • Right to restriction of processing (Art. 18)

  • Right to data portability (Art. 20)

  • Right to object to processing (Art. 21)

  • Right to withdraw consent (where consent is the basis)

  • Right to lodge complaint with supervisory authority

Deutsch:
Nach DSGVO stehen Ihnen folgende Rechte zu (sofern anwendbar):

  • Auskunftsrecht (Art. 15)

  • Recht auf Berichtigung (Art. 16)

  • Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17)

  • Recht auf Einschränkung der Verarbeitung (Art. 18)

  • Recht auf Datenübertragbarkeit (Art. 20)

  • Widerspruchsrecht gegen Verarbeitung (Art. 21)

  • Recht auf Widerruf erteilter Einwilligungen

  • Recht, sich bei einer Aufsichtsbehörde zu beschweren

11. Marketing and Communication / Marketing und Kommunikation

English:
We send newsletters and product updates only with your consent (double opt-in). You can unsubscribe anytime via the link in our emails.

Deutsch:
Wir versenden Newsletter und Produktinformationen nur mit Ihrer Zustimmung (Double-Opt-In). Sie können sich jederzeit über den Link in unseren E-Mails abmelden.

12. Security / Sicherheit

English:
We and our processors apply industry-standard technical and organizational measures (encryption in transit and at rest, access controls, regular audits) to protect your data against unauthorized access or loss. In case of a confirmed data incident, we will notify you without undue delay.

Deutsch:
Wir und unsere Auftragsverarbeiter setzen branchenübliche technische und organisatorische Maßnahmen ein (Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrollen, regelmäßige Audits), um Ihre Daten vor unbefugtem Zugriff oder Verlust zu schützen. Bei einem bestätigten Datenschutzvorfall informieren wir Sie unverzüglich.

13. International Users / Internationale Nutzer

English:
If personal data is transferred outside the European Union / European Economic Area (EU/EEA), particularly to the USA (e.g., to our AI processor, Base44), we ensure a lawful transfer mechanism is in place, as required by the GDPR, to guarantee an adequate level of protection.

For transfers to the USA, we rely on the following mechanisms:

  1. The EU-U.S. Data Privacy Framework (DPF), provided the data importer (Base44 or other Sub-processors) is duly certified.

  2. Where the DPF is not applicable, we use the European Commission's Standard Contractual Clauses (SCCs), combined with required supplementary security and contractual measures and a Transfer Impact Assessment (TIA) to uphold the protection level as required by EU law.

Deutsch:
Falls personenbezogene Daten außerhalb der Europäischen Union / des Europäischen Wirtschaftsraums (EU/EWR) übermittelt werden, insbesondere in die USA (z. B. an unseren KI-Auftragsverarbeiter Base44), stellen wir sicher, dass ein gesetzlicher Übermittlungsmechanismus gemäß DSGVO vorhanden ist, um ein angemessenes Schutzniveau zu gewährleisten.

Für Übermittlungen in die USA stützen wir uns auf folgende Mechanismen:

  1. Das EU-U.S. Data Privacy Framework (DPF), sofern der Datenimporteur (Base44 oder andere Sub-Auftragsverarbeiter) entsprechend zertifiziert ist.

  2. Sofern das DPF nicht anwendbar ist, nutzen wir die Standardvertragsklauseln (SCCs) der Europäischen Kommission in Verbindung mit erforderlichen zusätzlichen technischen und vertraglichen Schutzmaßnahmen sowie einer Transfer-Folgenabschätzung (TIA), um das nach EU-Recht erforderliche Schutzniveau aufrechtzuerhalten.

14. Changes / Änderungen

English:
We may update this Privacy Policy from time to time. The current version will always be posted here with a revision date.

Deutsch:
Wir können diese Datenschutzerklärung gelegentlich aktualisieren. Die jeweils aktuelle Version wird hier mit einem Aktualisierungsdatum veröffentlicht.